Fortinet Security Awareness Report 2025: il legame tra formazione e riduzione dei rischi informatici
A cura di Melonia da Gama, Director of Marketing and Business Development, Fortinet Training Institute
La formazione in cybersecurity non è più solo un adempimento normativo. Oggi, è uno strumento di controllo misurabile che permette di ridurre i rischi informatici. Il Security Awareness and Training Global Research Report 2025 di Fortinet, basato sulle risposte di 1.850 dirigenti del settore IT e della sicurezza in tutto il mondo, mostra chiari progressi nella sensibilizzazione alla cybersecurity, ma evidenzia anche gli ambiti in cui le organizzazioni continuano a essere esposte.
Ecco i risultati di maggiore interesse per i leader che si occupano di sicurezza e di gestione del rischio.
L’IA sta aumentando la consapevolezza delle aziende, ma la preparazione dei dipendenti resta inadeguata
Le minacce basate sull’intelligenza artificiale hanno cambiato il modo in cui dipendenti e dirigenti concepiscono la cybersecurity. Quasi nove aziende su dieci affermano che l’utilizzo dell’intelligenza artificiale da parte degli hacker ha aumentato la loro consapevolezza sull’importanza della formazione in materia di sicurezza. Tuttavia, consapevolezza non significa preparazione. Solo il 40% circa dei dirigenti ritiene che i propri dipendenti siano realmente preparati a identificare, evitare e segnalare questo nuovo tipo di minacce.
La maggior parte delle organizzazioni sta rispondendo a questo problema formando i dipendenti a un uso corretto degli strumenti di IA generativa (GenAI), monitorando o limitando la condivisione di dati sensibili e adottando politiche di sicurezza formali sull’intelligenza artificiale. Quasi tutti gli intervistati dichiarano di aver già adottato, o di stare implementando attivamente, tali policy, insieme a modelli linguistici di grandi dimensioni (LLM). La direzione è chiara: il divario risiede nell’esecuzione e nell’uniformità.
Le minacce esterne continuano a guidare l’adozione di soluzioni di sicurezza, ma i rischi interni crescono rapidamente
Le minacce esterne, le violazioni subite in passato e gli incidenti di settore rimangono i motivi principali per cui le aziende investono nella formazione in cybersecurity, tanto che più del 40% degli intervistati indica questi fattori come driver principali. A cambiare è però la crescente preoccupazione per i rischi interni: oltre un quarto delle organizzazioni considera questi ultimi il motivo per accrescere la consapevolezza informatica; un netto aumento rispetto allo scorso anno.
Le priorità formative riflettono il cambiamento in atto. Sebbene la sicurezza e la riservatezza dei dati restino i temi centrali, cresce sempre più l’attenzione verso gli strumenti basati sull’intelligenza artificiale e le relative minacce. Questo allineamento è importante: dimostra che le aziende stanno iniziando a correlare ciò che viene insegnato ai dipendenti con i rischi concreti, anziché considerare la formazione come un semplice contenuto generico di conformità.
La formazione in cybersecurity riduce gli incidenti, e le organizzazioni possono dimostrarlo
Uno dei riscontri più rilevanti del report è che la formazione funziona. Il 67% delle organizzazioni segnala una riduzione moderata o significativa di intrusioni, incidenti e violazioni in seguito all’implementazione di programmi di sensibilizzazione e formazione sulla sicurezza.
Anche le pratiche di valutazione stanno evolvendo. Tra gli indicatori più comuni figurano la riduzione degli incidenti di sicurezza, il feedback dei dipendenti e gli audit di sicurezza. Molte aziende combinano ora corsi di formazione in presenza e online con simulazioni, valutazioni e attività di consolidamento continuo. Ciò riflette un passaggio da corsi di formazione occasionali a programmi pensati per modificare i comportamenti e ridurre i rischi nel lungo periodo.
Costanza e tasso di completamento rimangono i punti deboli
Nonostante il miglioramento dei metodi di valutazione e dei risultati, la maggior parte delle organizzazioni continua ad avere difficoltà nel garantire la continuità necessaria, e solo una piccola percentuale raggiunge il completamento integrale della formazione. Allo stesso tempo, quasi sette dirigenti su dieci affermano che i dipendenti continuano a non avere una consapevolezza sufficiente in materia di sicurezza.
Ciò contribuisce a spiegare il divario tra investimenti e risultati. Una formazione che non viene portata a termine, non viene consolidata o non viene aggiornata al mutare del panorama delle minacce non ha modo di realizzare appieno il proprio potenziale.
Per far fronte a tale divario, il rapporto suggerisce alcuni accorgimenti pratici: moduli formativi più brevi e frequenti, una definizione più chiara delle responsabilità sul completamento della formazione, un migliore allineamento tra i contenuti e le minacce, e un sostegno visibile da parte della leadership. Inoltre, la necessità di micro-formazione regolare diventa sempre più importante per stare al passo con i progressi dell’IA.
La sensibilizzazione alla sicurezza sta diventando una questione culturale, non solo procedurale
La maggior parte dei dirigenti considera ormai la sensibilizzazione alla sicurezza una responsabilità condivisa a livello aziendale, e non solo una competenza del reparto IT o della security. Quasi la totalità degli intervistati, inoltre, si dichiara disponibile ad adottare politiche aziendali finalizzate a gestire i comportamenti ad alto rischio, soprattutto se accompagnate da corsi di formazione che ne spieghino le motivazioni.
Si tratta di un cambiamento significativo. Una formazione efficace sulla sicurezza non consiste semplicemente nel superare un esame, ma mira a influenzare le decisioni quotidiane, a rafforzare i comportamenti corretti e a ridurre i rischi sul campo.
Cosa significa tutto ciò per il 2026 e il futuro
I dati parlano chiaro: la formazione in cybersecurity riduce il numero di incidenti. E le aziende che investono in questo ambito e ne misurano gli esiti ottengono risultati concreti. Per essere efficace, però, la formazione deve essere continua, pertinente e intesa come uno strumento fondamentale di gestione dei rischi, non come un’attività secondaria.
Costruire una forza lavoro più resiliente tramite la formazione
Il Fortinet Training Institute aiuta le organizzazioni a trasformare la consapevolezza in materia di sicurezza in una riduzione misurabile dei rischi. Con una formazione specifica per ruolo, certificazioni tecniche e percorsi di apprendimento pratico, i programmi sono pensati per migliorare la preparazione dei dipendenti e rafforzare la postura di sicurezza aziendale.
Scopri i programmi di Security Awareness and Training di Fortinet e come costruire una forza lavoro pronta ad affrontare le minacce di oggi e i rischi di domani.
